Perché le persone non usano < CFLOGIN > ;?
https://stackoverflow.com/questions/604909
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Perché le persone non usano CFLOGIN? Ricordo di aver avuto problemi con CF7 alcuni mesi fa, ma non riuscivo a ricordare cosa non andasse.
Soluzione
Uso cflogin continuamente e funziona benissimo. Può essere un po 'complicato iniziare a lavorare come preferisci, ma i vantaggi sono enormi. Essere in grado di ottimizzare la tua applicazione con i ruoli utente si occupa della maggior parte della mia personalizzazione basata sui diritti. C'erano alcuni problemi con la gestione delle sessioni che rendevano difficile lavorare con. L'attivazione delle sessioni j2ee sembra eliminare la maggior parte di questi problemi.
Alcuni dei framework popolari non sono compatibili con cflogin, quindi potrebbe essere uno dei motivi per cui non ne vedi molti. Tendono ad avere il proprio approccio per proteggere le funzionalità dell'applicazione.
Penso che molte persone ne siano frustrate perché è un po 'eccentrico e si arrendono. Altri hanno esigenze di sicurezza più complicate che non vengono affrontate completamente da cflogin, quindi finiscono per scrivere il proprio sistema. In particolare, non esiste un modo semplice per gestire i diritti per risorsa di contenuto.
Altri suggerimenti
L'unico problema che ho avuto è con i ruoli in CF8. È brillantemente implementato e un po 'crudele che non funziona come dovrebbe. Forse in CF9.
In ogni caso, costruire il proprio sistema basato sui ruoli (assegnare all'utente una variabile di sessione con un elenco separato da virgole di livelli di accesso che il sistema può verificare) non è troppo difficile da fare e ci sono riuscito.
L'unica cosa bella di cfLogin che probabilmente vale ancora la pena usare è come si collega al monitor del Server per vedere quante persone hanno effettuato l'accesso, ecc.
Il punto sopra sull'uso di jsession è vero, vale la pena farlo in tutte le app cf. Una delle cose migliori in cui mi sono trascinato per iniziare a lavorare come volevo.
CFLogin non viene utilizzato per 3 motivi.
Prima , è un po 'permaloso, un po' strano e non funziona come molti penserebbero. Metti un po 'di codice qui e se un utente non ha effettuato l'accesso lo esegue ... è strano, lo sai? Non ha aiutato che ci fossero alcuni bug all'inizio.
Secondo , sebbene abbia le funzionalità di sicurezza richieste di base per un'applicazione web, non va oltre. Non puoi davvero estenderlo facilmente. Chi può dire che è così che lo vogliono tutti?
Terzo , e più realisticamente, è perché le persone hanno già risolto quel problema. L'area problematica della protezione di un'applicazione, autenticazione e autorizzazione è stata pensata nella comunità abbastanza a lungo e la maggior parte delle persone sa come farlo. CFLogin sta reinventando la porta. È troppo poco, troppo tardi.
Ora, questo non vuol dire che nessuno lo usa. L'ho usato personalmente alcune volte con un successo di base, ma non c'è motivo di suonare un campanello. Per la maggior parte delle mie applicazioni, ha più senso non utilizzare CFLogin. I domini problematici sono in questo modo o quello e CFLogin non sempre lo risolve nel modo più intelligente.
Tieni presente che CFLOGIN ha un problema con l'autenticazione HTTP di base in cui può continuare a inviare il proprio ID utente e password anche dopo aver chiamato CFLOGOUT.
So che questo ha allontanato alcuni utenti avanzati.
Ecco un estratto da LiveDocs
Attenzione: se si utilizza un server Web autenticazione o qualsiasi forma autenticazione che utilizza un HTTP di base Intestazione di autorizzazione, il browser continua a inviare l'autenticazione informazioni per l'applicazione fino al l'utente chiude il browser o dentro alcuni casi, tutte le finestre del browser aperte. Di conseguenza, dopo che l'utente si è disconnesso e l'applicazione utilizza il cflogout tag, fino alla chiusura del browser, il struttura cflogin nel tag cflogin conterrà l'utente disconnesso ID utente e password. Se un utente registra fuori e non chiude il browser, un altro utente potrebbe accedere alle pagine con il primo accesso dell'utente.
Nel mio caso (supponiamo anche per alcune altre persone) il motivo principale si sta spostando da un'altra piattaforma, diciamo PHP. Voglio dire che ho già acquisito alcune conoscenze e abitudini nello sviluppo di ACL e ho iniziato a usarle in CF.
So come renderlo utile per l'utente, flessibile per gli sviluppatori e sicuro e non ho davvero bisogno per passare a cflogin.
A volte lo stesso accade con altre cose, diciamo che nella maggior parte dei casi preferisco implementare la convalida lato client usando il proprio JS invece di usare cfform / cfinput.
Perché (ancora!) ha gravi bug, come questo:
http: // www.raymondcamden.com/index.cfm/2009/8/7/Watch-out-for-this-CFLOGIN-Bug
